Recommandations de sécurité liées au moteur des règles d’entreprise
Le moteur des règles d'entreprise est le composant d'exécution de l'infrastructure des règles d'entreprise. Grâce à cette infrastructure, vous pouvez connecter des règles déclaratives très lisibles et riches sur le plan sémantique à n'importe quel objet métier (composant .NET), document XML ou table de base de données. Pour plus d’informations sur l’infrastructure de règles d’entreprise, consultez Création et utilisation de règles métier. Pour plus d’informations sur le moteur de règles métier, consultez Moteur de règles.
Aucun groupe d'utilisateurs Windows n'est associé au moteur des règles d'entreprise, uniquement des comptes individuels. BizTalk Server limite l'accès aux ressources du moteur des règles d'entreprise par l'intermédiaire de deux rôles SQL Server :
Le rôle RE_Admin_Users SQL Server est destiné aux utilisateurs qui doivent effectuer des tâches administratives dans le moteur des règles d'entreprise, telles que déployer des règles. Les membres de ce rôle sont les administrateurs BizTalk.
Le rôle RE_Host_Users est associé à tous les autres utilisateurs du moteur des règles d'entreprise, qui n'ont pas besoin de droits administratifs et dont les tâches consistent à lire et exécuter les règles. Les membres de ce groupe incluent ceux du rôle BizTalk_Host_Users. Les rôles SQL Server permettent également d'implémenter des autorisations liées au moteur des règles d'entreprise indépendantes des autorisations BizTalk Server. Pour plus d’informations sur l’autorisation minimale nécessaire pour utiliser le moteur de règles métier, consultez Droits utilisateur de sécurité minimale. Il est recommandé de respecter les informations ci-dessous pour la sécurisation et le déploiement du moteur des règles d'entreprise dans votre environnement.
BizTalk Server utilise le compte qui a servi à installer la connexion du service de mise à jour pour les droits associés au service, et l'ajoute au rôle RE_Host_Users SQL Server de la base de données du moteur des règles d'entreprise. Si le compte utilisé pour l'installation n'est pas celui que vous allez utiliser pour exécuter le service de mise à jour, vous devez supprimer le compte d'installation du rôle RE_Host_Users SQL Server.
Si vous n’utilisez pas le même compte qu’un autre compte de service hôte BizTalk, ajoutez également le compte de service RuleEngine à BTS_HOST_USERS dans BizTalkMgmtDb et BizTalkMsgBoxDb.
Si vous utilisez le composant Service de mise à jour, vous devez l'installer sur tous les ordinateurs d'exécution BizTalk. Pour extraire une règle de la base de données du moteur de règles, le service de mise à jour se fait passer pour l'appelant du service.
Par défaut, tous les hôtes BizTalk ont le même niveau d'accès aux artefacts du moteur de règles. Il n'existe pas de limitation de sécurité liée aux hôtes. Vous pouvez configurer une sécurité liée aux stratégies par le biais des API du moteur de règles. Pour plus d’informations sur la configuration de la sécurité par stratégie, consultez Sécurité de l’infrastructure des règles d’entreprise.